在稽核記錄中搜尋事件 Microsoft Defender 全面偵測回應
稽核記錄可協助您調查Microsoft 365 服務的特定活動。 在 Microsoft Defender 入口網站中,會稽核 Microsoft Defender 全面偵測回應 和 適用於端點的 Microsoft Defender 活動。 稽核的一些活動包括:
- 數據保留設定的變更
- 進階功能的變更
- 建立入侵指標
- 隔離裝置
- 新增\edit\deletion 安全性角色
- 建立\編輯自定義偵測規則
- 將使用者指派給事件
如需已稽核 Microsoft Defender 全面偵測回應 活動的完整清單,請參閱 Microsoft Defender 全面偵測回應 活動和 適用於端點的 Microsoft Defender 活動。
稽核會自動針對 Microsoft Defender 全面偵測回應 開啟。 稽核的功能會自動記錄在稽核記錄中。 稽核也可以從 GCC 環境收集稽核記錄。
必要條件
若要存取稽核記錄,您必須在 Exchange Online 中具有僅限檢視稽核記錄或稽核記錄角色。 根據預設,這些角色會指派給合規性管理和組織管理角色群組。
注意事項
系統會將 Office 365 和 Microsoft 365 中的全域系統管理員自動新增為 Exchange Online 中 [組織管理] 角色群組的成員。
Microsoft Defender 全面偵測回應 使用 Microsoft Purview 稽核解決方案。 您必須先在 Microsoft Purview 合規性入口網站 中開啟稽核,才能查看 Microsoft Defender 入口網站中的稽核數據。 如需詳細資訊, 請參閱開啟或關閉稽核。
重要事項
全域管理員是高度特殊許可權的角色,當您無法使用現有角色時,應限於案例。 Microsoft 建議您使用權限最少的角色。 使用具有較低許可權的帳戶有助於改善組織的安全性。
搜尋稽核記錄
請遵循下列步驟來搜尋稽核記錄:
流覽至 Microsoft Defender 入口網站的 [稽核] 頁面,或移至 Purview 合規性入口網站,然後選取 [稽核]。
在 [ 新增搜尋] 頁面上,篩選您想要稽核的活動、日期和使用者。
選 取搜尋
將您的結果匯出至 Excel 以進一步分析。
如需逐步指示,請 參閱在合規性入口網站中搜尋稽核記錄。
稽核記錄保留是以 Purview 保留原則Microsoft為基礎。 如需詳細資訊,請參閱管理稽核記錄保留原則。
Microsoft Defender 全面偵測回應 活動
如需Microsoft 365 稽核記錄中 Microsoft Defender 全面偵測回應 中針對使用者和系統管理活動所記錄的所有事件清單,請參閱:
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的自定義偵測活動
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的事件活動
- 稽核記錄中 Microsoft Defender 全面偵測回應 中的隱藏規則活動
適用於端點的 Microsoft Defender 活動
如需在 Microsoft 365 稽核記錄中針對 適用於端點的 Microsoft Defender 中使用者和系統管理活動所記錄的所有事件清單,請參閱:
- 稽核記錄中適用於端點的Defender中的一般設定活動
- 稽核記錄中適用於端點的Defender中的指標設定活動
- 稽核記錄中適用於端點的Defender中的回應動作活動
- 稽核記錄中適用於端點的Defender中的角色設定活動
使用 PowerShell 腳本搜尋事件
您可以使用下列 PowerShell 代碼段來查詢 Office 365 管理 API,以擷取 Microsoft Defender 全面偵測回應 事件的相關信息:
$cred = Get-Credential
$s = New-PSSession -ConfigurationName microsoft.exchange -ConnectionUri https://outlook.office365.com/powershell-liveid/ -Credential $cred -Authentication Basic -AllowRedirection
Import-PSSession $s
Search-UnifiedAuditLog -StartDate 2023/03/12 -EndDate 2023/03/20 -RecordType <ID>
注意事項
如需記錄類型值,請參閱稽核活動中包含的API數據行。
如需詳細資訊,請 參閱使用PowerShell腳本來搜尋稽核記錄